Toute stratégie de préparation aux catastrophes commence par poser les bonnes questions. Disposez-vous d’une équipe ? Cette équipe a-t-elle un plan ? Qu’y a-t-il dans ce plan ?
Les entreprises se posent ce genre de questions depuis bien avant l’avènement du cloud. Si un mainframe venait à être inondé ou si un datacenter californien prenait feu, les entreprises se demandaient toujours 1.) qui faut-il appeler et 2.) que doivent-elles faire ? Ces considérations ont toujours existé, mais nous disposons désormais d’un terme sophistiqué pour les désigner. Lorsque la catastrophe est liée à une cyberattaque, on parle alors de « plan de réponse aux incidents » (PRI).
La raison pour laquelle les PRI, ou les réponses aux cyber-incidents (RCI), sont abordés différemment des autres plans de reprise après incident (DR) tient au fait qu’ils comportent des éléments différents. Les cybersinistres attirent des équipes que les IRP n’ont peut-être pas besoin d’utiliser pour des sinistres plus simples. Dans ces cas, les organisations vont faire appel à des équipes de gestion des risques et de conformité, en plus d’éventuellement faire appel à des avocats et à des conseillers externes.
La nuance derrière ces différentes réponses (c’est-à-dire, les DR par rapport aux plans de réponse aux incidents) vient du fait que, dans le cas d’incidents de ransomware, votre entreprise a un adversaire actif qui tente de manière malveillante de vous empêcher de mettre en œuvre votre PRI. Ce n’est pas ainsi que les choses se passeraient si vous interveniez à la suite d’une catastrophe naturelle ou d’un accident humain.
Quand on pense à une crise informatique normale à grande échelle, on pense à un incendie, une inondation, un ouragan ou une tornade. Dans tous ces cas, il s’agit d’une crise centrée sur l’informatique et l’entreprise attend simplement que l’informatique reprenne ses services. Lorsque vous parlez de cyberincidents, l’un des différenciateurs les plus importants est que vous êtes activement menacé par un acteur malveillant. Au-delà de cela, il y a aussi le côté pragmatique de la restauration. Par exemple, si vous effectuez la restauration après une inondation, vous restaurez les serveurs dégoulinants d’eau. Si vous restaurez après un incendie, vous restaurez ceux qui sont carbonisés. Facile, n’est-ce pas ? Cependant, être capable d’évaluer et de restaurer des serveurs qui continuent de clignoter et de s’exécuter peut s’avérer une entreprise ardue.
Qu’est-ce qu’un IRP ?
Les PRI se concentrent directement sur les mesures à prendre en cas de cyberattaque ou de panne. Les IRP peuvent également s’inscrire dans un PRA plus large ou être utilisés en parallèle. Ces plans de restauration sont cruciaux, car les conséquences d’une cyberattaque ne sont souvent pas aussi transparentes que les conséquences et les dommages que peuvent engendrer d’autres types de sinistres. Par exemple, en cas de tornade, les gens comprennent que vous pouvez être en panne parce que votre datacenter a été anéanti. Cependant, dans le cas d’une attaque par ransomware, la bonne volonté du grand public est bien plus faible.
En tant que tel, vous devez faire preuve d’une plus grande prudence en ce qui concerne les informations que vous divulguez, ce que vous dites et à qui vous le dites. Souvent, lors d’événements tels que les cyberattaques, il existe des réglementations en place qui vous donnent entre 24 et 72 heures seulement pour signaler l’attaque. La mise en place d’un IRP permet à votre entreprise d’engager une restauration beaucoup plus complète, tout en tirant le meilleur parti du délai qui s’écoule avant que la nouvelle de votre attaque ne soit rendue publique.
Les arguments en faveur d’une équipe et d’un plan sont clairs. En fait, sur les 1 200 victimes interrogées dans le Rapport sur les tendances des ransomwares 2024, toutes sauf 2 % disposaient d’une équipe et parmi celles-ci, toutes sauf 3 % avaient déjà un plan en place. Ainsi, 95 % des victimes disposaient d’une équipe et d’un plan. Pour en savoir plus sur ces statistiques, voici un livestream Industry Insights que vous pouvez regarder pour vous tenir au courant de ce que disent les données.
Il y a plusieurs actions clés dans un plan RCI que nous voulons également mettre en évidence pour vous aider à planifier la restauration rapide de votre entreprise. Ces actions comprennent la détection, le confinement, l’éradication, la restauration et l’apprentissage.
Détection
Veeam s’intègre aux outils et techniques de sécurité tiers pour faciliter la détection et l’identification des indicateurs de données compromises au sein des archives de sauvegarde pendant le processus de sauvegarde. Veeam alerte et transmet également les événements de sécurité à d’autres systèmes SIEM, qui peuvent déclencher des sauvegardes si nécessaire. Ces fonctionnalités permettent de s’assurer que les équipes concernées reçoivent les alertes appropriées et qu’un plan de communication plus large a été mis en place.
Confinement
Cet aspect prend souvent la forme d’une analyse de contenu, d’une indication et d’un isolement des données compromises. Cela permet d’empêcher la destruction des données sur l’infrastructure concernée grâce à un déploiement renforcé et à des protocoles de sécurité tels que le chiffrement. Les vides peuvent également être appliqués aux niveaux logique, protocolaire et physique par le biais de cibles à plusieurs niveaux et diversifiées.
Éradication
La recherche d’indicateurs de compromission et leur identification dans la console Veeam empêche la restauration des données compromises. D’autres comparaisons peuvent être effectuées avec les données de production afin d’assurer la cohérence des données restaurées. De plus, Secure Restore offre une analyse en cours de transfert dans le cadre du processus de restauration pour éviter toute réinfection.
des données
Étant donné qu’il est difficile de savoir exactement quel vecteur d’attaque sera utilisé, quel angle précis de compromission sera atteint ou quel sera l’impact sur l’infrastructure au sens large, vous devez impérativement disposer d’options de restauration flexibles et indépendantes de la plateforme. À grande échelle, l’orchestration et l’automatisation peuvent également réduire les erreurs humaines et accélérer les restaurations.
Formation
Veeam Data Labs permet d’effectuer des analyses forensiques ou des causes premières des problèmes. Les rapports d’audit et les pistes d’alerte de Veeam peuvent également fournir des éléments de preuve supplémentaires. Les plans de restauration automatisés peuvent également mettre en œuvre une documentation qui fournit des conseils sur les ajustements à appliquer pendant la phase de préparation.
La nécessité d’un plan CIR
Comme beaucoup de meilleures pratiques, leur nécessité se fait le plus sentir en leur absence. Si votre entreprise n’a pas mis en place de plan de réponse aux incidents, vous pourriez faire face à toutes les ramifications d’une attaque — des conséquences qui vont bien au-delà des simples coups financiers. Sur le plan des entreprises, le rapport sur les tendances des ransomwares en 2024 souligne :
45 % d’augmentation de la pression sur les équipes IT et de sécurité
23 % de réduction de la confiance des clients
22 % d’atteinte à la réputation de la marque
22 % d’exposition / de divulgation de données au public
21 % de pertes de données
Sur le plan individuel, 45 % ont déclaré que leur charge de travail avait considérablement augmenté et 40 % ont déclaré que leur stress avait également considérablement augmenté. L’IRP de votre organisation ne doit pas seulement tenir compte des résultats de la panne ; vous devez également tenir compte des chiffres relatifs aux pertes financières, aux dommages à la réputation et à tous les problèmes connexes dont votre organisation pourrait être victime.
Les piliers essentiels d’un plan CIR solide
Votre équipe de sécurité, votre équipe de direction, votre équipe de communication d’entreprise et votre équipe d’infrastructure informatique seront toutes parmi les premières appelées en cas d’événement d’attaque et constitueront donc des piliers cruciaux de votre plan RCI.
Une façon de jeter un regard neuf sur ces données est de demander : si vous avez été victime d’une violation — et disons que l’acteur malveillant a fait toutes les pires choses possibles — qui allez-vous inviter à la réunion qui a suivi cet incident pour discuter de ce qui s’est passé ? Quelles équipes devraient être impliquées dans cette conversation ? Étant donné que tous les rôles qui participeraient à cette réunion deux semaines après une attaque devraient avoir une place à la table de planification, ils devraient également être impliqués en tant que participant actif ou acteur dans le développement de l’équipe et la formation du PRI.
En gardant cela à l’esprit, l’une des meilleures façons de s’assurer que tous vos acteurs clés sont dans la salle de restauration est de créer une équipe d’intervention désignée. La spécification d’une équipe de personnel informatique interne, de professionnels de la sécurité et même de consultants externes est un autre pilier crucial d’un PRI réussi.
Voici quelques meilleures pratiques pour constituer cette équipe :
Impliquer les représentants juridiques et les représentants des relations publiques pour gérer les retombées plus larges.
Définir clairement les rôles et les responsabilités de qui doit faire quoi pendant un incident, y compris les décideurs, les experts techniques et les responsables des communications.
Documenter les inventaires d’actifs critiques, les cartes réseau, les informations de configuration du système et les contacts des fournisseurs et des partenaires.
Élaborer des manuels et procédures étape par étape pour les types d’attaque courants (ransomware, phishing, etc.).
Une fois que vous avez mis en place votre équipe, il est temps de vous assurer qu’elle peut détecter et analyser toutes les menaces qui se présentent à vous.
Investissez dans des pare-feu, des systèmes de détection d’intrusion (SDI), la protection des postes de travail et des plateformes de gestion des informations et des événements de sécurité (SIEM) pour une analyse centralisée des journaux.
Configurez vos appareils et systèmes pour générer des journaux détaillés et surveillez-les activement pour détecter les anomalies et les activités suspectes.
Former les employés à repérer les e-mails d’hameçonnage, les liens suspects et les comportements inhabituels du système.
En plus de l’ensemble des équipes internes, 94 % des victimes de cyberattaques font également appel à des tiers dans le cadre de leurs efforts de correction : fournisseurs de sauvegarde, fournisseurs de sécurité, partenaires revendeurs ou fournisseurs de services, spécialistes en forensique et négociateurs en matière de rançon. Ces deux derniers sont particulièrement importants depuis que Veeam a récemment acquis le leader du marché de l’analyse forensique et de la négociation, Coveware, afin de limiter les dommages (et donc l’ampleur des sinistres) qu’une attaque par ransomware peut infliger à votre entreprise.
Activités post-incident
Au lendemain d’une attaque, l’une de vos premières actions devrait consister en une analyse des causes premières. De nombreuses cybervictimes parlent d’exploits de type « jour zéro » qui sont exploités par des pirates informatiques ingénieux et à la pointe de la technologie. La vérité est que, selon les experts de Coveware, la plupart des violations ne sont pas causées par des piratages super sophistiqués. Au lieu de cela, la plupart des intrusions sont causées par des personnes qui ne sécurisent pas les terminaux d’accès à distance connectés à Internet ou qui ne mettent pas à jour les systèmes après la découverte d’une vulnérabilité critique il y a six mois.
L’analyse des causes premières de ces problèmes est souvent décourageante, car ce sont des erreurs qui ne devraient pas se produire, mais qui constituent néanmoins un risque, car les entreprises n’appliquent pas de correctifs aussi souvent qu’elles le devraient. Peut-être qu’ils n’ont pas tous l’authentification multifacteur (MFA) sur tous leurs systèmes ou peut-être que c’est autre chose — tant de facteurs différents peuvent finir par être à l’origine d’une intrusion.
En plus d’analyser l’attaque, vous devez rester au fait des exigences de signalement et de conformité relatives à l’incident. Une fois la poussière retombée, vous pourrez utiliser cette analyse et les leçons apprises pour réorganiser votre PRI, identifier et corriger les lacunes et apprendre à être plus résilient face aux prochaines attaques.
Le rôle de Veeam dans la réponse aux cyberincidents
Sur les 1 200 entreprises victimes d’attaques décrites dans le rapport, les trois principales composantes de leur plan RCI sont les suivantes :
Des sauvegardes viables.
Des sauvegardes propres et sûres.
Un plan qui pourrait basculer vers une autre infrastructure.
Veeam offre divers moyens pour répondre à ces besoins grâce à une large gamme d’outils et prend en charge les plans de réponse aux incidents cybernétiques en mettant en avant le modèle confiance zéro. Cette façon de penser suppose qu’une violation est inévitable et que l’auteur de la menace est déjà dans votre réseau. Si vous partez de ce principe et que vous préparez votre entreprise en conséquence, vous avez de bonnes chances de survivre à une attaque. Si vous ne pensez pas que des acteurs malveillants s’en prennent à vos données, vous perdrez le combat. Selon le rapport sur les tendances des ransomwares en 2024, les acteurs malveillants ciblent les sauvegardes dans 96 % des attaques.
Veeam est une solution logicielle uniquement, ce qui signifie qu’il n’y a pas de longs délais d’attente avant la mise en œuvre d’une protection de niveau Veeam. Vous pouvez utiliser n’importe quels services cloud ou matériel préexistants dont vous disposez déjà. Avec cette flexibilité, Veeam offre de multiples moyens de garantir l’inaltérabilité de votre environnement, garantissant ainsi que vos données vont vraiment survivre.
Tests
Il n’est pas souhaitable que votre première vérification de l’efficacité de votre restauration ait lieu après une attaque. Testez votre IRP en exécutant des simulations. Grâce à ces tests, les entreprises découvrent souvent des choses qu’elles ont laissées de côté ou auxquelles elles n’avaient peut-être pas pensé auparavant. Pour extraire une statistique du Rapport sur les tendances de la protection des données en 2024, lorsque les entreprises ont testé leurs capacités de reprise à grande échelle, seulement 58 % de leurs serveurs ont été remis en ligne conformément à leurs attentes.
Par le passé, lorsque les entreprises tentaient d’effectuer une restauration de leur système informatique, moins de trois serveurs sur cinq étaient rétablis dans les délais prévus. Et ce, même lorsque vous saviez quels serveurs devaient basculer et que vous étiez capable de trier ceux qui pouvaient être infectés avant même de commencer. De nos jours, si vous considérez les cyberattaques comme une version plus complexe et sans doute plus dangereuse de tout autre désastre informatique, alors envisagez de simplifier le processus de la DR : Veeam Recovery Orchestrator.
Cyber-assurance
Comme c’est le cas pour de nombreuses polices d’assurance, l’une des valeurs de la cyber-assurance, surtout ces derniers temps, est qu’elle est plus difficile à obtenir si l’on ne fait pas déjà ce que l’on devrait faire au préalable. Elle sert de fonction d’impulsion. Si le programme de gestion des risques de votre entreprise exige que vous ayez une cyber-assurance, vous allez devoir faire beaucoup de choses dont il est question dans ce blog afin de l’obtenir, car les cyber-assureurs sont de plus en plus prescriptifs quant à ce qu’ils attendent. Collaborez avec des équipes externes, telles que l’équipe de réponse aux incidents de Coveware, un fournisseur de services de sécurité gérés (MSSP) ou un consultant en réponse aux incidents pour vous assurer que votre équipe dispose du plus haut niveau d’expertise et de préparation.
Les assureurs souhaitent également que l’accent soit mis sur la collaboration entre les services et les fournisseurs. Un plan de réponse aux incidents infaillible repose sur une communication ouverte entre les services, les fournisseurs et éventuellement les forces de l’ordre.
C’est MAINTENANT qu’il faut agir
Les cybermenaces sont incessantes et évoluent constamment. N’attendez pas qu’une attaque vous force à passer à l’action ! La planification proactive de l’intervention en cas de cyberincident n’est pas facultative ; c’est un investissement dans la survie de votre entreprise. Il s’agit de :
Minimiser les dommages : Détecter les attaques tôt et agir rapidement pour limiter leur impact.
Protéger votre réputation : Faire preuve d’une bonne préparation renforce la confiance des clients et des partenaires.
Assumer vos responsabilités : Vous avez la responsabilité envers vos parties prenantes de protéger leurs données et vos systèmes.
Veeam peut être votre allié pour vous préparer à un cyberincident et vous en relever. Nos solutions de sauvegarde et de restauration sécurisées sont conçues pour constituer votre dernière ligne de défense. Vous souhaitez découvrir comment Veeam peut renforcer la résilience de vos données ? Contactez-nous dès aujourd’hui pour une évaluation personnalisée ou explorez les ressources ci-dessous :
Réponse aux incidents par Coveware
Ne laissez pas les cybersinistres dicter votre avenir. Préparer. Répondre. Restaurer.